L'email di chi?

Roma – Credo che bene o male tutti abbiano avuto notizia dell'ormai approvato “Pacchetto Sicurezza”, il quale contiene norme molto invasive, ed oltretutto in parte poco chiare, sulla data retention relativa ai file di log e simili. Le norme si applicano a qualunque tipo di comunicazione telefonica o telematica, ed in particolare ai log di posta e dei server web. Pare quasi certo che i contenuti delle comunicazioni siano esclusi, ma non c'è completa chiarezza a riguardo.

Interpretando la norma (ma, anche se ho esperienza nel settore, non sono un avvocato specializzato, quindi si faccia un minimo di tara), e restringendo il campo di queste considerazioni a posta e navigazione web, si presentano tre possibilità:

– Il detentore dei log è un ISP, un provider o comunque un fornitore di servizi a carattere commerciale, come ad esempio un internet point; in questo caso i log devono essere memorizzati a cura e spese del titolare (con quali modalità non è stabilito) fino al 2007, quando il “Pacchetto Sicurezza” verrà riesaminato in sede legislativa;

– Il detentore dei log è un fornitore di servizi a carattere non commerciale, come ad esempio uno user group od una ONLUS; in questo caso la situazione è più vaga. In precedenza, con certezza, questi soggetti non erano tenuti (in pratica) alla conservazione dei log. La mia interpretazione è che il “Pacchetto Sicurezza” abbia purtroppo rovesciato questa situazione, ma bisognerà aspettare interpretazioni ufficiali o casi pratici per essere sicuri;

– Il detentore dei log è un privato che non fornisce servizi a terzi. Questa figura non è un caso assurdo; chiunque abbia un dominio con indirizzi di posta che si gestisce autonomamente, od un sito web personale (non in hosting) ha, sulla sua macchina, un server di posta e/o web che viene usato da terzi (chi gli invia posta o chi sfoglia il suo sito web) e che ovviamente produce i log relativi. La mia interpretazione (confortata da moltissimi precedenti, dal testo della legge ed anche da un minimo di ragionevolezza) è che una tale figura non sia riconducibile ad un fornitore di servizi, e sia quindi esentata dalla conservazione dei log.

Supponendo valide queste premesse, passiamo a questa prima parte del “Pacchetto Privacy”.

Si tratta di una iniziativa, da sviluppare col tempo e la collaborazione di tutti, volta a ridurre, in maniera assolutamente legale e per quanto possibile, il problema della data retention partendo da quella relativa alla posta elettronica.

Sarà impostata come un'iniziativa di self-help, cioè volta a permettere a persone dotate non tanto di conoscenze tecniche ma di un minimo di buona volontà, di difendersi da queste aggressioni legislative (sottolineo di nuovo, in maniera assolutamente civile e legale) in attesa che i nostri rappresentanti eletti si accorgano di quello che stanno facendo e/o di come i loro elettori la pensano a riguardo.

E' infatti accaduto che, nelle ultime settimane, persino alte cariche dello Stato hanno parlato, anzi tuonato, in favore della privacy. Come opinione personale, ed in questo sono un “andreottiano” convinto, che applica la massima “chi pensa male fa peccato ma c'indovina”, ritengo che la vicenda, riassunta all'estremo, possa suonare così:

12 settembre 2001: “Intercettiamo tutto e tutti, così saremo più sicuri.”
Qualche mese fa: “Ohibo', ma cosi intercettano anche noi!”
Qualche giorno fa: “Difendiamo la privacy dei cittadini, perchè è giusto e loro ci tengono tanto!”

Ma torniamo al “Pacchetto Privacy”..

I messaggi di posta elettronica viaggiano normalmente tra server di posta gestiti da soggetti appartenenti alle prime due categorie suddette; provider commerciali e non (ad esempio università) certamente conserveranno i log, anche nei casi dubbi, se non altro per cautela.

In Rete il percorso più comune di un messaggio di posta è il seguente:

1) pc del mittente
2) server SMTP del provider del mittente
3) server SMTP del provider del destinatario
4) server POP3 od IMAP del provider del destinatario
5) pc del destinatario

I server 2 e 3, e probabilmente 4, sono quasi sempre server di provider commerciali, che quindi devono conservare i log per la durata prevista dal “Pacchetto Sicurezza”.

Chi utilizza la posta elettronica puo' sempre criptare il contenuto, rendendolo privato, ma non mantenere la riservatezza sugli scambi di corrispondenza, che saranno chiaramente ricostruibili incrociando i log di posta dei suddetti server.

Certo, persone avvedute possono utilizzare remailer e pseudonym server, ma questa non è (ancora) una soluzione alla portata della maggioranza degli utenti.

Utilizzando quindi le infrastrutture di posta esistenti, siamo soggetti alla data retention imposta dal “Pacchetto Sicurezza”, per tacer poi di tutte le attività di profiling commerciale che gli ISP fanno, da tempo, in maniera purtroppo legale, fino ad arrivare alla assoluta abiezione di Gmail ed assimilati. A proposito, se volete evitare di ricevere risposte a vostri messaggi da quelli che la pensano come me, non avete che da scrivermi da un account di Gmail.

Ma se si usasse un sistema di posta alternativo? Da quando si sono diffuse le ADSL flat non è una cosa irrealizzabile.

Se io, come privato, fossi il titolare del server di posta che uso, e quindi avessi il mio indirizzo di posta su questo server, i messaggi da me ricevuti non sarebbero memorizzati sui log, che avrei ovviamente provveduto legalmente a gettare.

Se il mittente che mi scrive utilizzasse un server SMTP locale della sua macchina (non registrato nè ufficiale) anche i log di partenza potrebbero non essere conservati (e vorrei vedere!) ed il messaggio diventerebbe quindi non tracciabile.

La situazione ideale è quella in cui tutti e due i corrispondenti hanno l'indirizzo di posta pubblico su un loro server, rendendo il funzionamento della posta assolutamente identico (log a parte) a quello della posta “normale”.

E' una soluzione alla portata solo di smanettoni o guru? Non direi. Vediamo in pratica.

E' necessario avere una macchina collegata permanentemente o quasi ad internet, e quindi sempre accesa; quindi ADSL flat e PC silenzioso od almeno lontano dal letto sono indispensabili. Una Pbox sarebbe l'ideale, ma non voglio fare pubblicità ai progetti a cui partecipo in questa sede. Il computer che useremo deve girare un server di posta; se è una macchina GNU/Linux probabilmente lo fa già a vostra insaputa e vi basterà programmarlo, e se è una macchina win*** potete installarne uno libero e gratuito.

Si deve poi registrare un proprio dominio (o più in economia un nome di computer) su uno dei siti tipo Dyndns.org che forniscono gratuitamente servizi di dns dinamico, ed installare sulla propria macchina il client relativo (anche questo libero e gratuito).

Poi si deve dire al server di posta locale,di ricevere la posta destinata a quel nome host, ed inoltrarla all'utente locale, o metterla a disposizione su un server (sempre locale) POP3 od IMAP. Vale quanto detto al punto precedente.

Dulcis in fundo, considerando che il nostro server casalingo potrebbe essere qualche volta scollegato (ad esempio quando la donna delle pulizie ha staccato la spina per attaccarci l'aspirapolvere) si deve definire un server di posta secondario che riceva la posta se il primario fosse momentaneamente spento, e gliela inoltri quando viene riacceso. Va benissimo il serverino di un altro collega con cui scambiarsi il favore.

Questa ultima cosa non è indispensabile (dipende da quanto spesso il nostro server viene spento) ma richiede di possedere non un nome host (gratuito) ma un dominio registrato (da 40 a 70 euro l'anno). Come titolare di un dominio registrato potrei fare anche tante altre cose, ma questa è un'altra storia.

Costo di tutta la faccenda? Da zero a 70 euro/anno, cioè più o meno il costo di una casella di posta “professionale”.

Tempo necessario per realizzarla? Qualche ora, che puo' essere richiesta anche un amico esperto, tanto è una attività che si fa una volta per tutte.

Risultato? Diventiamo padroni dei messaggi che riceviamo ed inviamo, che non saranno più loggati da nessuno, ed il Grande Fratello per una volta si ritrova con le corna rotte. Con qualche ora di lavoro in più possiamo anche istruire il nostro server di posta a criptare le comunicazioni con gli altri server che supportano questa opzione (Secure-SMTP), quindi il contenuto dei messaggi che inviamo, anche se in chiaro, non è più intercettabile perchè viaggia comunque criptato.

Infine, dopo aver messo in piedi una tale struttura (ma qui veramente avrei bisogno del conforto di esperti giuristi a riguardo) mi risulta che si potrebbero fornire caselle di posta anche a “familiari” (in senso esteso, non necessariamente consanguinei o coabitanti) senza acquisire con questo il ruolo di fornitore di servizi. Anche i vostri amici sarebbero quindi a posto….

A questo punto molti staranno pensando “Come è complicato! Non ci riusciro' mai.” Non è vero. Se ci pensate bene, avete sicuramente un conoscente in grado di farlo per voi. Dovrete insistere, perdere un po' di tempo, chiedere dei favori, ma alla fine avrete il vostro server di posta e ne sarà valsa la pena: la vostra posta sfuggirà alla data retention.

Avete un PC ed una ADSL flat ? Allora potete farlo. Punto!

Ne vale la pena? E' una cosa alla portata di molti? L'idea avrà successo? Rispondo alle prime due domande con due “Si”, il terzo dipenderà da chi punta su questa iniziativa.

Certo che sarebbe più pratico fare tutto questo con una Privacy Box, silenziosa, che consuma pochissima corrente, vi tiene sempre su l'ADSL e lascia completamente libero il vostro pc, ma questa sarebbe appunto pubblicità, quindi fate conto che non vi abbia detto niente, anzi, che nemmeno vi abbia dato l'indirizzo del sito e della mail list, che sono:
http://www.winstonsmith.info/pbox/index.html
http://lists.firenze.linux.it/cgi-bin/mailman/listinfo/p-box/

… ma mi sia invece limitato a darvi l'indirizzo della lista tecnica del FLUG dove chiedere informazioni anche su configurazioni di posta Linux:
http://lists.firenze.linux.it/cgi-bin/mailman/listinfo/tech/

… e di quella generale sulla privacy del Progetto Winston Smith
http://lists.firenze.linux.it/cgi-bin/mailman/listinfo/e-privacy/

Un saluto ed alla prossima
Marco Calamari

Precedenti interventi di M.C. sono disponibili qui